日志系统 使Linux管理更轻松.docVIP

日志系统 使Linux管理更轻松 操作系统的日志主要具有审计与监测的功能，通过对日志信息的分析，可以检查错误发生的原因，监测追踪入侵者及受到攻击时留下的痕迹，甚至还能实时的进行系统状态的监控。有效利用日志信息并对其进行分析与实时的监控管理，对于系统的安全性具有极为重要的作用。 本文就是和大家探讨如何利用linux日志系统来管理系统更轻松。对于日志信息的管理通常采用两种方法，一种方法是不同服务器的日志信息都存放在各自系统内，系统管理员对各服务器进行分散管理。另一种方法则是使用日志主机系统，这是一个从其他主机收集日志，并将它们存放在同一个地方的系统，很容易使来自多个主机的日志条目关联起来，对其进行统一管理、分析，甚至配合自动化工具进行实时的监控，有效提高管理的效率。 第一种方法往往是大多数系统管理员的常用的方法，这种传统的管理方法在服务器数量较少时还能勉强应付，但在处理多主机状况时却并非一种有效的方法。本文主要讲述二种日志管理方法，探寻一种提高系统管理效率的途径。 一、日志主机系统的部署 日志主机系统包括日志主机及各主机系统两个部分，其中日志主机相当于服务器端，而各主机系统相当于客户端，将日志信息实时的传送到日志主机上来。 1. 日志主机的部署 日志主机采用一台RHEL 5的服务器(假设其主机名为loghost),日志收集软件采用Linux平台上的Syslog,Syslog一般都随Linux系统安装时已经安装，对于我们部署整个系统提供了极大的便利性，因此在此不对其安装步骤进行阐述，仅讲述其配置方法。 Syslog既可作为客户端，也可作为服务器端，并且支持远程的日志收集。其配置文件为/etc/sysconfig/syslog，要配置其作为服务器端，需对此配置文件相应部分改为如下所示： SYSLOGD_OPTIONS=“-r-m 0” “-r”选项表示使syslog接收客户端的远程日志信息。 接下来重启Syslog服务器端使配置生效： #service syslogd restart 由于Syslog采用514端口监听来自各客户端的日志信息，因此需要在日志主机的防火墙上开放514端口，以iptables为例，对特定网段开放514端口： /sbin/iptables -A INPUT -i eth0 -p tcp -s /16 -dport 514 -syn -j ACCEPT 2.客户端的部署 2.1 Linux平台下客户端的部署 在Linux平台下依然选择syslog作为客户端进行部署，此时此配置文件为/etc/syslog.conf,其默认配置为(仅以/var/log/message日志为例)： *.info;mail.none;authpriv.none;cron.none /var/log/messages /var/log/message即Sysolg存放系统日志的绝对路径，将此值替换为日志主机名即可。例子如下： *.info;mail.none;authpriv.none;cron.none @loghost 根据上述配置，当Syslog重启使用配置生效后，客户端服务器的日志信息将会实时的传送到日志主机的/var/log/message文件里，对各服务器的日志信息进行统一的管理。 使用如下命令重启Syslog服务使配置生效： #service syslogd restart 依上述方法将其他系统日志信息(如/var/log/secure)导入到日志主机上。 笔者建议，采用添加配置而非修改的方法，同时在本地及日志主机上保存系统日志。 2.2 Windows平台下客户端的部署 在Windows平台下采用软件evtsys进行客户端的部署，其下载链接为/ECN/Resources/Documents/UNIX/evtsys/evtsys_exe.zip 解开后得到两个文件：evtsys.ext和evtsys.dll。 将这两个文件放到C：\WINDOWS\system32目录下，在命令行状态下运行如下命令进行安装： %systemroot%\system32\evtsys –i-h loghost 当安装成功后，可查看服务列表看到相应的信息，如图1所示。 卸载evtsys的命令为： %systemroot%\system32\evtsys-u 图1 更改日志主机名的命令为： Net stop evtsys //停止 evtsys evtsys-u //卸载 evtsys evtsys-l-h newloghost //指定新的日志主机名 net start evtsys //启动 evtsys 二、日志主机的自动日志分析与监控 当整个系统部署好后，可以从日志主机里验证各服务器是否将日志信息发送到了日志主机上。以/var/l